Ponad 3 miliony urządzeń podatnych na atak. Ransomware SamSam atakuje szpitale

20 kwietnia, 2016

Eksperci do spraw bezpieczeństwa z Cisco Talos Group dokonali prewencyjnego skanowania sieci w poszukiwaniu urządzeń, które są podatne na zdalne ataki. Informacje, które udało im się pozyskać nie wywracają do góry nogami sektora bezpieczeństwa, za to potwierdzają to, co eksperci powtarzają od wielu lat. 

Z ponad 3 milionów urządzeń, ponad 1600 z nich z adresami IP przypisanymi dla szkół, uniwersytetów, instytucji rządowych, szpitali i firm lotniczych posiadało łącznie 2100 backdoorów, które tylko czekają na uruchomienie gotowego payloadu przez podatność w popularnych skryptach PHP do zdalnego zarządzania. Co więcej, serwery te mogą zostać użyte do infekowania kolejnych urządzeń i stacji roboczych.

W przeciwieństwie do znanych nam ataków ransomware, które rozprzestrzeniają się zazwyczaj poprzez spam, w tym przypadku do infekcji serwerów i stacji roboczych wykorzystano niezaktualizowane wersje aplikacji serwera JBoss Server Enterprise firmy Red Hat, które służy do integracji i konsolidacji danych oraz użytkowników na różnych platformach. Co więcej, przestępcy korzystają z narzędzia*, które pozwala im zrobić listę urządzeń w Active Directory, a do zapłacenia okupu wykorzystują blogi w domenie **WordPress.com. Po zapłaceniu okupu, ofiara otrzymuje prostą aplikację do deszyfracji danych oraz klucz prywatny.

* Filename: csvde.exe
MD5 9f5f35227c9e5133e4ada83011adfd63

** followsec7.wordpress.com, hxxps://union83939k.wordpress.com

Przestępcy do exploitowania serwerów wykorzystują otwarto-źródłowe narzędzie JexBoss i instalują malware bez żadnej ingerencji administratora. Jeśli uzyskają dostęp do sieci, wykorzystując ransomware SamSam i klucz asymetryczny RSA o długości klucza 2048 bitów szyfrują systemy Windows. 

Incydent ten pokazuje, że przestępcy są coraz częściej zainteresowani łatwym łupem. Rezygnują z wieloetapowych ataków na rzecz łatwych do zrealizowania kampanii z wykorzystaniem ransomware, które są o wiele bardziej opłacalne i tańsze do wykonania. 

W ostatnich tygodniach zaatakowane zostały szpitale w USA, Kanadzie, także w Niemczech, gdzie przestępcy często żądali po kilkadziesiąt tysięcy dolarów za odzyskanie dostępu do plików. Szpitale mając na uwadze dobro pacjentów godziły się na zapłacenie okupu. Chociaż niemal wszyscy eksperci zgadzają się co do jednego – nie należy płacić – to decyzji tych nie należy potępiać. Szpitale powinny uczyć się na błędach i bardziej zabezpieczać swoje zasoby.

Nie ma na co czekać. Chwila, kiedy w polskich mediach odbije się szerokim echem incydent z udziałem ransomware wydaje się być już bliski. Szpitale oraz placówki medyczne z uwagi na przechowywane wrażliwe dane i informacje, które niejednokrotnie mogą mieć znaczenie dla zdrowia lub życia pacjenta, mogą stać się atrakcyjnym celem. Miejmy nadzieję, że administratorzy zadbają o kopie bezpieczeństwa, tak na wypadek czasowej utraty dostępu do medycznych danych przez personel szpitala. 

Szczegółowa analiza ransomware SamSam i kilka sum kontrolnych:

fe998080463665412b65850828bce41f
a14ea969014b1145382ffcd508d10156
9585f0c7dc287d07755e6818e1fa204c
87fac016a357487f626ecdca751cb6a5
868c351e29be8c6c1edde315505d938b
4c8fb28a68168430fd447ba1b92f4f42

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]